파일 카빙 (File Carving)

 

 

파일 카빙 ( File Carving )

        : 메타 데이터가 아닌 파일 자체의 바이너리 데이터(content, signature, header 등)를 이용해

          디스크의 비할당 영역에서 파일을 복구하는 방식

 

 

* 연속적 카빙 / 비연속적 카빙 : 파일이 저장될 때 분할이 되어서 저장되는지 아닌지에 차이가 있음

 

 

 

 

<파일 카빙의 종류>

 

1. 시그니쳐(signature) 기반 카빙

- 가장 기본적인 방식

- 파일의 header(파일의 처음), footer(파일의 마지막)를 기반으로 카빙하는 기법

 

 

 

 

2. 램 슬랙(Ram Slcack) 카빙

램 슬랙(Ram Slack) 

       : 파일 내용을 디스크에 기록할 때, 파일의 크기가 512의 배수가 되지 않아서 0x00으로 채워지는 영역

 

- 램 슬랙 공간을 뒤지면 파일의 footer 등의 위치를 알아낼 수 있다.

 

 

 

 

3. 파일 구조체(File Structure) 카빙

- 헤더를 시작으로 각 구조체 별로 파싱해 전체를 파악하는 기법

- 파일 미리보기 지원하는 파일은 파일 포맷 내부에 실제 내용과 썸네일(Thumbnail)을 포함하는데, 

  썸네일도 해당 파일 포맷과 동일한 구조로 되어 있어 시그니처가 2개 이상 존재하게 된다.

- 파일 시그니처가 2개 이상인 경우에 원래 포함되어 있던 것인지, 파일 훼손인지 판단해야 할 때,

  구조체 전체를 파악하면 판단할 수 있다.

 

 

   1) 파일 크기 획득 방법

     - 파일 구조체 내부는 파일시스템의 파일메타정보와 유사하게 파일의 크기, 형식 등의 정보가 포함된 메타 정보가 저장.

     - 파일 크기를 획득하는 방법은 파일 구조체 내부에서 파일의 시작 위치와 크기에 대한 정보를 획득해 카빙하는 방법.

 

   2) 파일 구조 검증 방법

     - 문서파일과 같이 수정이 자주 이루어지는 경우에 데이터 표현을 위해 고유한 계층 구조를 사용하는데, 이러한 계층 구조를 검증해 카빙하는 방법

     - Microsoft 복합문서나 압축 파일 등은 계층 구조로 각 계층마다 고유한 시그니처 존재.

     - 구조 검증은 카빙된 파일 내용을 소프트웨어로 확인 가능하고, 속도에 큰 영향을 미치지 않는 범위에서 이루어져야 함.

  

 

출처 : http://forensic.korea.ac.kr/DFWIKI/index.php/%EB%8D%B0%EC%9D%B4%ED%84%B0_%EB%B3%B5%EA%B5%AC